Pc is extreem traag en verleden met Trojan.Gen.2

[martinweijers]

PC is extreem traag nadat ik een Trojan.Gen.2 heb gehad.
Deze bleek enorm moeilijk te verwijderen.
Uiteindelijk lijkt hij verdwenen alleen is de pc nog erg traag.

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 22:37:44, on 12-7-2016
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.10586.0420)


Boot mode: Normal

Running processes:
c:\program files (x86)\teamviewer\TeamViewer.exe
C:\Program Files\WindowsApps\Microsoft.Messaging_2.15.20002.0_x86__8wekyb3d8bbwe\SkypeHost.exe
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
L:\SETUP.EXE
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Users\vanda\Desktop\HijackThis.exe
C:\Windows\SysWOW64\DllHost.exe
C:\Windows\syswow64\MsiExec.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=
O2 - BHO: Skype for Business Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office 15\root\Office15\OCHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files\Microsoft Office 15\root\Office15\GROOVEEX.DLL
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CommonToolkitTray] C:\Program Files (x86)\Fighters\Tray\FightersTray.exe
O4 - HKCU\..\Run: [OneDrive] "C:\Users\vanda\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program Files\Microsoft Office 15\Root\Office15\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://C:\Program Files\Microsoft Office 15\Root\Office15\ONBttnIE.dll/105
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIE.dll
O9 - Extra button: Skype for Business Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office 15\root\Office15\OCHelper.dll
O9 - Extra 'Tools' menuitem: Skype for Business Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office 15\root\Office15\OCHelper.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIELinkedNotes.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: http://help.eset.com (HKLM)
O15 - ESC Trusted Zone: http://help.eset.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{90dd5f2c-4596-46ed-be36-ad4b5cddced6}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Crypkey License - Unknown owner - crypserv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update-service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 11 (TeamViewer) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9701 bytes

[PeterJ]

Welkom,

Download Zoek.exe naar het bureaublad.

• Wanneer je internet browser of virusscanner een melding geeft dat dit bestand onveilig zou zijn kan je dat negeren, het is namelijk een onterechte waarschuwing.
• Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
  (hier of hier) kan je lezen hoe je dat doet.
• Rechtsklik op Zoek.exe en klik op Als administrator uitvoeren.
• Wacht geduldig totdat Zoek verschijnt, dit zal maximaal 1 minuut duren.
• Kopieer nu onderstaande code en plak die in het grote invulvenster:
• Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.

  Code: Selecteer alles

  standardsearch;
  installedprogs;
  emptyjava;
  emptyflash;
  emptyiecache;
  emptyffcache;
  emptychrcache;
  torpigcheck;
  

• Let op: Sluit nu eerst alle webbrowsers.
• Klik nu op de knop "Run Script".
• Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
• Mocht er geen logje verschijnen, start Zoek.exe dan opnieuw en klik op zoek-results.log, de log verschijnt dan alsnog.
• Sluit het geopende logje.
• Post het bestand c:\zoek-results.log als bijlage in je volgend bericht.

[martinweijers]

Zoals aangegeven ben ik aan het werk gegaan en hierbij het logje.


Alvast bedankt !

[PeterJ]

Stap 1:
Ben je ergens anders geholpen om deze infectie te verwijderen? Zoja, post dan een link naar dat topic.
Zo niet, wat heb je allemaal gedaan om deze infectie te verwijderen ?

Stap 2:
Start Zoek opnieuw:

• Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
  (hier of hier) kan je lezen hoe je dat doet.
• Rechtsklik op Zoek.exe en klik op Als Administrator uitvoeren.
• Kopieer nu onderstaande code en plak die in het invulvenster:
• Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkaardig probleem.

  Code: Selecteer alles

  type C:\DelFix.txt>>"%temp%\log.txt";b
  C:\Users\vanda\AppData\Roaming\Fighters;fs
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run];r
  "CommonToolkitTray"=-;r
  Suite Service;a
  msconfigcheck;
  autoclean;
  

• Let op: Sluit nu eerst alle webbrowsers.
• Klik nu op de knop "Run Script".
• Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
• Mocht er geen logje verschijnen, start Zoek.exe dan opnieuw en klik op zoek-results.log, de log verschijnt dan alsnog.
• Sluit het geopende logje.
• Post het bestand c:\zoek-results.log als bijlage in je volgend bericht.

[martinweijers]

goedenavond

ik heb het virus behandeld met spybot search en destroy/superantispyware/Hitman pro – SurfRight/
SpyHunter 4 – Malware/bitdefender/spyware doctor/malwarebytes en als laatste symantec endpoint.

Echter na al dit gedaan te hebben bleef hij terug komen en heb toen de pc geformateerd.
Na de mail opnieuw ingesteld te hebben was hij weer terug.
Bleek het in de .pst file te zitten.

Heb de bewuste emails verwijderd en een .pst cleaner gebruikt.

Nu lijkt hij verdwenen.

[PeterJ]

Oke, duidelijk.
Post nog het logbestand van stap 2.

[martinweijers]

goedenavond,

hierbij het nieuwe logje.

alvast bedankt.

[PeterJ]

Het zoeklogje is niet compleet. Waarschijnlijk heb je niet gewacht totdat Zoek klaar was.
Post het logbestand daarom nogmaals.

[martinweijers]

mijn excuus

[PeterJ]

Het logbestand is nu compleet. We kijken verder.

Download esetsmartinstaller_enu.exe.
Dubbelklik erop om het te starten.
Vink aan YES, I accept the Terms of Use.
Klik op Start
Selecteer "Enable detection of potentially unwanted applications".
Klik op "Advanced settings".
Zet een vinkje bij:
- Remove found threats
- Scan archives
- Scan for potentially unsafe applications
- Enable Anti-Stealth technology

Let op: Schakel nu eerst je eigen virusscanner uit, het scannen met ESET gaat dan sneller.
Klik op Start
De computer wordt nu gescand. Dit kan een poos duren...
Na het scannen kan je het venster sluiten.
Let op: Schakel nu eerst je eigen virusscanner weer in.
Ga met de verkenner naar de map "C:\Program Files\ESET\ESET Online Scanner" of "C:\Program Files (x86)\ESET\ESET Online Scanner", afhankelijk van de Windows versie.
Post het daar aanwezige bestand log.txt als bijlage in je volgend bericht.

[martinweijers]

hierbij het nieuwe logje.

[PeterJ]

Het gebruik van hacktools en dergelijke is absoluut af te raden.


Klik op Start - Alle programma's - Bureau-accessoires.
Rechtsklik op Opdrachtprompt en klik op Als administrator uitvoeren.
Typ in het zwarte venster CHKDSK C: /R en druk op de enter-toets. (let op de spaties!)

Op de vraag "Wilt u dat dit volume wordt gecontroleerd zodra de computer de volgende keer wordt opgestart?" druk op J.
Herstart nu je computer.

Druk tijdens de herstart niet op een toets zodat Schijfcontrole wordt gestart.
Wacht dit geduldig af.

Na de herstart:
Klik op Start - Alle programma's - Bureau-accessoires.
Rechtsklik op Opdrachtprompt en klik op Als administrator uitvoeren.
Typ in het zwarte venster SFC /SCANNOW en druk op de enter-toets. (let op de spatie!)

Als dit klaar is maak je een screenshot en upload het naar http://imgdumper.nl.
Post de link die je krijgt in je volgend bericht.

[martinweijers]

Goedenavond,

Hierbij de direct link naar het bestand.

http://www.imgdumper.nl/uploads9/578a7a ... amloos.png


heb je nog iets aan het cbs log bestandje wat hieruit voortvloeit ?

alvast bedankt !

[PeterJ]

heb je nog iets aan het cbs log bestandje wat hieruit voortvloeit ?

Dat was mijn volgende vraag geweest.

Sluit alle openstaande programma's.
Rechtsklik op Start en klik op Opdrachtprompt (administrator).
Typ in het zwarte venster dism /online /cleanup-image /restorehealth en druk op de enter-toets. (let op de spaties!)
Doe verder niets met de computer zolang deze actie bezig is.

Als dit klaar is maak je een screenshot en upload het naar http://www.imgdumper.nl.
Post de link die je krijgt in je volgend bericht.

[martinweijers]

Goedenavond,

Perfect hij is inmiddels bezig met de volgende stap.
Ook heb ik het CBS logje toegevoegd.

Alweer bedankt zover !